Аудит события входа Audit logon events

Область применения Applies to

Определяет, следует ли проверять каждый экземпляр пользователя, войдя в систему или выйдя из нее с устройства. Determines whether to audit each instance of a user logging on to or logging off from a device.

События для регистрации учетной записи создаются на контроллерах домена для действий с учетной записью домена и на локальных устройствах для действий с локальной учетной записью. Account logon events are generated on domain controllers for domain account activity and on local devices for local account activity. Если включены обе категории политики аудита входа и входа, входы в систему, которые используют учетную запись домена, создают событие входа или входа в систему на рабочей станции или сервере, а также создают событие входа в учетную запись на контроллере домена. If both account logon and logon audit policy categories are enabled, logons that use a domain account generate a logon or logoff event on the workstation or server, and they generate an account logon event on the domain controller. Кроме того, интерактивные входы в систему на рядовом сервере или рабочей станции, которые используют учетную запись домена, создают событие входа на контроллере домена при извлечении скриптов и политик входа при входе пользователя в систему. Additionally, interactive logons to a member server or workstation that use a domain account generate a logon event on the domain controller as the logon scripts and policies are retrieved when a user logs on. Дополнительные сведения о событиях для учетной записи для учетной записи см. в записи аудита событий. For more info about account logon events, see Audit account logon events.

Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешной попытке входа. Success audits generate an audit entry when a logon attempt succeeds. Аудит сбоев создает запись аудита при неудачной попытке входа. Failure audits generate an audit entry when a logon attempt fails.

Чтобы установить для этого параметра значение «Нетаудита», в **** диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.

Дополнительные сведения о дополнительных параметрах политики безопасности для событий входа см. в разделе «Вход и выйдите» в разделе «Дополнительные параметры политики аудита безопасности». For information about advanced security policy settings for logon events, see the Logon/logoff section in Advanced security audit policy settings.

Настройка этого параметра аудита Configure this audit setting

Этот параметр безопасности можно настроить, открыв соответствующую политику в области «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита». You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.

События для логотипа Logon events	Описание Description
4624 4624	Пользователь успешно выполнил вход на компьютер. A user successfully logged on to a computer. Сведения о типе логоса см. в таблице «Типы для логотипа» ниже. For information about the type of logon, see the Logon Types table below.
4625 4625	Ошибка при работе с логотипом. Logon failure. Была предпринята попытка вводить данные с неизвестным именем пользователя или с неизвестным именем пользователя с некаленным паролем. A logon attempt was made with an unknown user name or a known user name with a bad password.
4634 4634	Для пользователя завершен процесс выйдите из сети. The logoff process was completed for a user.
4647 4647	Пользователь инициировал процесс выйдите из сети. A user initiated the logoff process.
4648 4648	Пользователь успешно выполнил вход на компьютер с использованием явных учетных данных, а уже вошел как другой пользователь. A user successfully logged on to a computer using explicit credentials while already logged on as a different user.
4779 4779	Пользователь отключил сеанс сервера терминалов, не выйдя из системы. A user disconnected a terminal server session without logging off.

При регистрации события 528 в журнале событий также регистрируется тип входа. When event 528 is logged, a logon type is also listed in the event log. В следующей таблице описаны все типы для логотипа. The following table describes each logon type.

Аудит системы при помощи «родных» приложений ОС Windows

В ОС Windows есть несколько встроенных приложений, которые можно использовать для сбора информации о вашей системе. Используя эти инструменты в сочетании с методами пакетной обработки, вы сможете собрать много полезной информации.

Существует множество инструментов от сторонних разработчиков, позволяющих проводить аудит безопасности вашей Window-системы. Некоторые из таких инструментов представляют собой отдельные приложения, некоторые – фреймворки (есть платные и бесплатные варианты). Однако представим себе такую ситуацию, что у вас под рукой нет этих инструментов, а нужно провести аудит Windows-серверов. По сути, в вашем распоряжении находятся только инструменты, которые идут в комплекте операционной системы. В этой статье как раз и будут рассмотрены подобные утилиты, которые можно использовать для проведения аудита служб Windows.

В ОС Windows есть несколько встроенных приложений, которые можно использовать для сбора информации о вашей системе, например:

Используя эти инструменты в сочетании с методами пакетной обработки, вы сможете собрать много полезной информации. Конкретно в этой статье мы рассмотрим аудит служб Windows при помощи WMIC и CACLS.

Windows Management Instrumentation Command-Line (WMIC) – расширение для WMI, где вы можете, используя командную строку, получать и модифицировать информацию о Windows-системе. Чтобы выполнять эти действия, вы должны обладать правами локального администратора (состоять в группе локальных администраторов).

Детальную информацию о запущенных службах можно получить в разделе «Настройки»-> «Панель управления»-> «Администрирование»-> «Службы» (речь идет о Windows XP) или запустив приложение «services.msc». Для доступа к информации о службах при помощи WMIC, вы должны зайти в систему как администратор и в консоли ввести следующую команду:

C:\> wmic service get /all

Также можно вывести только определенную информацию, задав соответствующие параметры при запуске команды:

C:\> wmic service get DisplayName, Name
C:\> wmic service get Name, ProcessID, StartName
C:\> wmic service get Name, PathName /format: csv.xsl

Далее приводится справочная информация по использованию команды:

Property get operations.
USAGE:

The following properties are available:
Property Type Operation
======== ==== =========
AcceptPause N/A N/A
AcceptStop N/A N/A
Caption N/A N/A
CheckPoint N/A N/A
CreationClassName N/A N/A
Description N/A N/A
DesktopInteract N/A N/A
DisplayName N/A N/A
ErrorControl N/A N/A
ExitCode N/A N/A
InstallDate N/A N/A
Name N/A N/A
PathName N/A N/A
ProcessId N/A N/A
ServiceSpecificExitCode N/A N/A
ServiceType N/A N/A
StartMode N/A N/A
StartName N/A N/A
Started N/A N/A
State N/A N/A
Status N/A N/A
SystemCreationClassName N/A N/A
SystemName N/A N/A
TagId N/A N/A
WaitHint N/A N/A

The following GET switches are available:

/VALUE — Return value.
/ALL(default) — Return the data and metadata for the attribute.
/TRANSLATE:

— Translate output via values from .
/EVERY: [/REPEAT: ] — Returns value every (X interval) seconds,
If /REPEAT specified the command is executed times.
/FORMAT:

Аудит отслеживания процессов Audit process tracking

Область применения Applies to

Определяет, следует ли проверять подробные сведения об отслеживании таких событий, как активация программы, выход из процесса, обработка дублирования и косвенный доступ к объектам. Determines whether to audit detailed tracking information for events such as program activation, process exit, handle duplication, and indirect object access.

Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешном отслеживании процесса. Success audits generate an audit entry when the process being tracked succeeds. Аудиты сбоев создают запись аудита при сбое отслеживаемой процедуры. Failure audits generate an audit entry when the process being tracked fails.

Чтобы установить для этого параметра значение «Нетаудита», в диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.

По умолчанию: Аудит не проводится. Default: No auditing.

Настройка этого параметра безопасности Configure this security setting

Этот параметр безопасности можно настроить в области Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита. You can configure this security setting under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.

Управление журналом аудита и безопасности Manage auditing and security log

Область применения Applies to

В этой статье описываются лучшие методики, расположение, значения, управление политиками и вопросы безопасности для параметра политики безопасности «Управление аудитом и журналом безопасности». Describes the best practices, location, values, policy management, and security considerations for the Manage auditing and security log security policy setting.

Справочные материалы Reference

Этот параметр политики определяет, какие пользователи могут указывать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и ключи реестра. This policy setting determines which users can specify object access audit options for individual resources such as files, Active Directory objects, and registry keys. Эти объекты указывают свои системные списки управления доступом (SACL). These objects specify their system access control lists (SACL). Пользователь, которому назначено это право, также может просмотреть и очистить журнал безопасности в окне просмотра событий. A user who is assigned this user right can also view and clear the Security log in Event Viewer. Дополнительные сведения о политике аудита доступа к объектам см. в этой теме. For more info about the Object Access audit policy, see Audit object access.

Константа: SeSecurityPrivilege Constant: SeSecurityPrivilege

Возможные значения Possible values

• Определяемый пользователей список учетных записей User-defined list of accounts
• Администраторы Administrators
• Не определено Not Defined

Рекомендации Best practices

1. Перед удалением этого права из группы необходимо выяснить, зависят ли приложения от этого права. Before removing this right from a group, investigate whether applications are dependent on this right.
2. Как правило, назначать это право пользователю группам, кроме администраторов, не требуется. Generally, assigning this user right to groups other than Administrators is not necessary.

Location Location

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Значения по умолчанию Default values

По умолчанию этот параметр является администратором на контроллерах домена и на автономных серверах. By default this setting is Administrators on domain controllers and on stand-alone servers.

В следующей таблице перечислены фактические и эффективные значения политики по умолчанию для последних поддерживаемых версий Windows. The following table lists the actual and effective default policy values for the most recent supported versions of Windows. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO	Значение по умолчанию Default value
Default Domain Policy Default Domain Policy	Не определено Not defined
Политика контроллера домена по умолчанию Default Domain Controller Policy	Администраторы Administrators
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings	Администраторы Administrators
Действующие параметры по умолчанию для контроллера домена Domain Controller Effective Default Settings	Администраторы Administrators
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings	Администраторы Administrators
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings	Администраторы Administrators

Управление политикой Policy management

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой. This section describes features, tools, and guidance to help you manage this policy.

Для активации этого параметра политики не требуется перезагрузка компьютера. A restart of the computer is not required for this policy setting to be effective.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

Аудит доступа к объектам не выполняется, если их не включить с помощью редактора локальных групповых политик, консоли управления групповыми политиками (GPMC) или средства командной строки Auditpol. Audits for object access are not performed unless you enable them by using the Local Group Policy Editor, the Group Policy Management Console (GPMC), or the Auditpol command-line tool.

Дополнительные сведения о политике аудита доступа к объектам см. в этой теме. For more information about the Object Access audit policy, see Audit object access.

Групповая политика Group Policy

Параметры применяются в следующем порядке с помощью объекта групповой политики (GPO), который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики: Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:

1. Параметры локальной политики Local policy settings
2. Параметры политики сайта Site policy settings
3. Параметры политики домена Domain policy settings
4. Параметры политики подразделения OU policy settings

Если локальный параметр затеняется, это означает, что в настоящее время этот параметр контролируется GPO. When a local setting is greyed out, it indicates that a GPO currently controls that setting.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Любой пользователь с правом на управление аудитом и журналом безопасности может очистить журнал безопасности, чтобы удалить важные признаки несанкционированной деятельности. Anyone with the Manage auditing and security log user right can clear the Security log to erase important evidence of unauthorized activity.

Противодействие Countermeasure

Убедитесь, что только у локальной группы администраторов есть право на управление аудитом и журналом безопасности. Ensure that only the local Administrators group has the Manage auditing and security log user right.

Возможное влияние Potential impact

Настройка по умолчанию ограничивает права пользователя журнала аудита и безопасности только локальной группой администраторов. Restricting the Manage auditing and security log user right to the local Administrators group is the default configuration.

Предупреждение: Если группе, кроме локальной группы администраторов, назначено это право пользователя, удаление этого права пользователя может привести к проблеме производительности в других приложениях. Warning: If groups other than the local Administrators group have been assigned this user right, removing this user right might cause performance issues with other applications. Перед удалением этого права из группы необходимо выяснить, зависят ли приложения от этого права. Before removing this right from a group, investigate whether applications are dependent on this right.